Sie sind hier:
Home
»
Aktuelle Meldungen
»
Archiv
Archiv für April 2014April 2014
- [Generic/Flash] Schwachstelle im Adobe Flash Player (2014-04-29)
Eine Schwachstelle im Adobe Flash Player für Microsoft Windows,
Macintosh OS X sowie Linux kann von einem Angreifer dazu ausgenutzt
werden, beliebigen Programmcode auf dem beherbergenden System
auszuführen. Adobe stellt aktualisierte Versionen des Players, die die
Schwachstelle beheben, bereit.
- [Microsoft/IE] Schwachstelle im Internet Explorer (2014-04-29)
Eine Schwachstelle im Internet Explorer der Versionen 6 bis 11
kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode
auf dem beherbergenden System auszuführen. Um die Schwachstelle
auszunutzen ist es ausreichend, wenn ein Benutzer eines betroffenen
Sytems entsprechend präparierte Inhalte mit dem Browser betrachtet.
- [DV-Recht] US-Gericht verfügt Durchsuchung eines E-Mail-Kontos auf einem Microsoft-Server in Irland (2014-04-28)
Ein US-amerikanischer Bundesrichter hat einen Durchsuchungsbefehl für
ein E-Mailkonto bei Microsoft erlassen, dessen Daten auf einem Server in
Irland liegen. Damit wird die Auffassung der amerikanischen Behörden
zementiert, dass die Daten nicht den Rechtsvorschriften des Landes, in
denen sie sich befinden (also hier denen Irlands bzw. der EU), sondern
den US-amerikanischen unterliegen. Zwar will Microsoft nach eigenem
Bekunden gegen diesen Beschluss eine Revision beantragen, dieser werden
jedoch wenig Chancen eingeräumt. Dies bedeutet, dass alle Daten, die
sich auf Servern US-amerikanischer Firmen befinden, egal wo diese
stehen, im direkten Zugriff US-amerikanischer Behörden liegen. Bei der
Nutzung solcher Dienste ist daher immer dieser Aspekt zu beachten. Dies
ist insbesondere dann relevant, wenn lokale Rechtsvorschriften zum
Schutz der Daten oder Geheimhaltungspflichten (z.B. im Rahmen von
Projekten) zu beachten sind.
- [DV-Recht] EuGH kippt Vorratsdatenspeicherung (2014-04-08)
Der Europäische Gerichtshof (EuGH) hat die EU-Richtlinie 2006/24/EG für
rechtswidrig erklärt. Nach Ansicht des Gerichtes verstößt sie gegen die
Grundrechtecharta der EU, sie "beinhaltet einen Eingriff von großem
Ausmaß und besonderer Schwere in die Grundrechte auf Achtung des
Privatlebens und auf den Schutz personenbezogener Daten, der sich nicht
auf das absolut Notwendige beschränkt". Die Richtlinie sah vor, dass
die Mitgliedsstaaten jeweils ein nationales Gesetz verabschieden müssen,
das Provider zur sechsmonatigen Speicherung aller Verbindungsdaten, die
in ihrer Infrastruktur angefallen sind, verpflichtet. Diese Vorgabe ist
nun Geschichte.
- [Generic/OpenSSL] Ernste Schwachstelle in OpenSSL (2014-04-07)
Eine Schwachstelle in der TLS heartbeat extension kann von
einem Angreifer durch das Senden eines speziell formulierten Paketes
dazu ausgenutzt werden, bis zu 64 kbytes des Speichers eines TLS-Servers
oder Clients auszulesen (sog. Heartbleed Bug). Dies kann u.U.
dazu führen, dass der Angreifer in den Besitz des privaten Schlüssel des
Servers oder Clients kommt. TLS-Verbindungen mit OpenSSL-Installationen
der betroffenen Versionen müssen daher als unsicher angesehen werden.
Auch zwischegespeichte Passwörter oder andere sensitive Daten können
unter Ausnutzung dieser Schwachstelle aus dem Speicher eines betroffenen
Systems ausgelesen werden. Das OpenSSL-Team hat eine neue Version
herausgegeben, die die Schwachstelle behebt. Es wird dringend
zur unverzüglichen Aktualisierung betroffener Systeme und dem Austausch
des jeweiligen Schlüsselpaars geraten. Ebenfalls sollten alle
Passwörter, die über eine betroffene TLS-Verbindung ausgetauscht wurden,
vorsorglich geändert werden.
- [Generic/OpenSSL] Mehrere Schwachstellen in OpenSSL (2014-06-05)
Sechs Schwachstellen in OpenSSL der Versionen 0.9.8, 1.0.0 und 1.0.1
können von einem Angreifer dazu ausgenutzt werden, beliebigen
Programmcode auf dem beherbergenden System (sowohl auf Servers als auch
auf Clients) auszuführen, schwache Sitzungsschlüssel in TLS-Sitzungen
zu erzwingen, betroffene Installationen in einen unbenutzbaren Zustand
zu versetzen oder Daten in bestehende Sitzungen einzuschleusen.
Das OpenSSL-Team stellt neue Versionen der verschiedenen
Zweige bereit, die die Schwachstellen beheben. Es wird
empfohlen, betroffene Installationen umgehend zu aktualisieren.
Nach derzeitigem Wissensstand sind Passwörter und/oder Zertifikate nur
zu ändern, falls ein betroffenes System erfolgreich angegriffen und
kompromittiert wurde (wie dies auch bei jeder anderen Kompromittierung
der Fall wäre).
- [Identitätsdiebstahl] Erneut rund 18 Millionen Zugangsdatensätze gestohlen (2014-04-07)
Das Bundesamt für Sicherheit in der Informationstechnik hat erneut im
Rahmen von laufenden Ermittlungen der Staatsanwaltschaft Verden eine
Liste von rund 18 Millionen Identäten erhalten, die gestohlen wurden.
Die Liste enthält E-Mail-Adressen, die zur Identifikation dienen sowie
das zugehörige Passwort. Sie können und werden für kriminelle
Aktivitäten verwendet. Da es weitverbreitete Praxis ist, diese Daten
auch für andere Dienste (etwa Online-Auktionshäuser, soziale Netzwerke
oder gar Onlinebankingkonten) zu verwenden, sind ggf. auch diese Konten
als kompromittiert anzusehen.
Das BSI stellt ein Werkzeug zur Verfügung,
mit dem überprüft werden kann, ob die eigene E-Mail-Adresse auf dieser
Liste enthalten ist. Benutzern wird dringend empfohlen, diese
Überprüfung erneut durchzuführen und vorsorglich Passwörter zu ändern,
insbesondere dann, wenn bekannt ist, dass Zugangsdaten auf einem
kompromittierten Rechnersystem eingegeben wurden. Weiterhin wird
dringend empfohlen, Passwörter nicht mehrfach zu verwenden. Es sollte
die Maßgabe "Jede Identität und jeder Zugang hat sein eigenes Passwort!"
gelten.
ACHTUNG! Die aktuelle Liste ist von der am 2014-01-22 bekannt
gewordenen Liste (siehe RUS-CERT-1718)
verschieden! Identitäten, die nicht auf der damals bekannt gewordenen
Liste enthalten waren, können auf der aktuellen Liste enthalten sein und
damals enthaltene, nun geänderte Identitäten können wieder enthalten
sein! Daher ist der Test unbedingt erneut durchzuführen!
Andere Monate
|